Сліди північнокорейських хакерів: CryptoQuant зафіксував візит з IP з КНДР
Аналітична платформа CryptoQuant зафіксувала аномалію: візит користувача з IP-адресою, що належить Північній Кореї. Інцидент було задокументовано через систему Amplitude, і скріншот, опублікований у мережі, демонструє параметри цього відвідування. Йдеться про перегляд сторінки з метрикою MVRV Ratio для біткоїна, перехід з Google, операційну систему Mac OS X і, що найпримітніше, країну — Північна Корея.
Сам по собі одиничний візит не розкриває особу користувача. Однак контекст має вирішальне значення. У КНДР доступ до глобальної мережі — це привілей, яким володіють лише обрані: державні чиновники, дипломати та військові. Саме ця обставина й породила припущення, що за моніторингом ончейн-аналітики стоять професійні хакери, а не пересічний громадянин. Автор посту висловив гіпотезу, що тепер ончейн-аналітикою могли зацікавитися на найвищому рівні керівництва країни.
Деталі візиту та метрика MVRV Ratio
Згідно зі скріншотом, заголовок сторінки — «Bitcoin: MVRV Ratio». Цей індикатор зіставляє ринкову капіталізацію активу з реалізованою капіталізацією (середньою ціною придбання всіх монет). Він використовується для оцінки того, переоцінений чи недооцінений біткоїн. Навіщо північнокорейському користувачеві знадобилася саме ця метрика — питання відкрите. Однак, враховуючи, що КНДР регулярно фігурує у звітах блокчейн-аналітиків як епіцентр криптоатак, інтерес до ринкових циклів біткоїна стає цілком зрозумілим.
Логіка проста: якщо країна активно використовує криптовалюту як економічний ресурс, їй необхідно розуміти, коли входити в позицію, а коли фіксувати прибуток. MVRV Ratio — один із ключових інструментів для прийняття таких рішень.
Криптовалюта та КНДР: контекст загрози
Зв'язок Пхеньяна з криптовалютами давно не є секретом. Угруповання, такі як Lazarus Group, приписують найбільші крадіжки в історії індустрії: від зламу Ronin (Axie Infinity) на $600 млн у 2022 році до атаки на біржу Coincheck на $534 млн у 2018-му. Ці операції приносять закритому режиму кошти, які неможливо отримати легальними шляхами через жорсткі санкції.
Сам по собі одиничний візит з IP із КНДР не є прямим доказом атаки. Він лише вказує на точку виходу в мережу, а не на конкретну людину. Однак у поєднанні з історією північнокорейських хакерів цей інцидент набуває особливої ваги. Він демонструє, що противники вивчають ті самі інструменти, що й легітимні аналітики, і, ймовірно, використовують їх для планування своїх операцій.
Думка експерта: Цей випадок — яскраве нагадування про те, що ончейн-аналітика стає полем битви. Державні хакери не просто крадуть кошти — вони вивчають ринок так само ретельно, як і інституційні інвестори. Ігнорувати цей факт при побудові стратегії безпеки більше не можна.